Digitale weerbaarheid

Cyberverzekeringen 101: wat is het en heeft mijn bedrijf het nodig?

7 minuten leestijd

Cyberrisico's nemen toe door een combinatie van factoren: toenemende dreigingsniveaus, steeds grotere aanvalsoppervlakken en een tekort aan beveiligingsvaardigheden. Hierdoor zijn organisaties in het nadeel. Geconfronteerd met een verhoogde kans op een schadelijke inbreuk op de beveiliging, zullen veel organisaties (een deel van) de aansprakelijkheid willen overdragen aan een externe verzekeraar. Maar degenen die denken dat ze een cyberverzekering simpelweg kunnen gebruiken als vervanging voor investeringen in best practices op het gebied van cybersecurity, kunnen zich vergissen. In feite zijn bepaalde beveiligingsoplossingen een voorwaarde voor dekking (van een cyberverzekering).

 

Dus als een cyberverzekering niet de heilige graal is die bedrijven in één klap cyberweerbaar maakt, waar is het dan wel goed voor?

 

Wat is een cyberverzekering?

Op een heel eenvoudig niveau helpt een cyberverzekering bedrijven van elke omvang zichzelf te beschermen tegen de financiële gevolgen van ernstige incidenten zoals datalekken. Afhankelijk van de polis kan de verzekering het volgende bieden:

  • Toegang tot pre-breach assessments, gescreende leveranciers en informatie om de veerkracht te vergroten vóór een incident.
  • Hulp bij kennisgeving na een inbraak, forensisch onderzoek, juridische diensten en expertise op het gebied van crisismanagement.
  • Financiële steun voor juridische kosten en schadeclaims tegen jouw bedrijf.
  • Dekking voor kosten die gemaakt moeten worden om het bedrijf operationeel te houden en gegevens te herstellen, evenals verlies van inkomsten.

Polissen kunnen sterk verschillen, maar er zijn twee hoofdtypes van dekking:

Hoofdtype 1: Dekking voor jezelf

Heeft betrekking op de directe gevolgen van een cyberincident voor jouw bedrijf. Dit omvat de kosten van verloren of beschadigde software, juridische kosten, forensisch onderzoek, kennisgeving aan klanten, diefstal van geld, en meer.

 

Hoofdtype 2: Dekking van derden

Dit heeft betrekking op claims die anderen tegen jouw bedrijf indienen voor verliezen die ze hebben geleden als gevolg van een cyberincident. Hieronder vallen zaken als juridische schikkingen met klanten, advocaat- en accountantskosten, en meer.

 

Het is belangrijk om te weten dat cyberaanvallen op jouw bedrijf die worden beschouwd als "oorlogshandelingen" mogelijk niet worden gedekt door jouw polis. Lloyd's of London heeft de controversiële stap genomen om haar verzekeraars te dwingen een uitsluitingsclausule voor cyberoorlog op te nemen, om de aansprakelijkheid van verzekeraars voor door staten gesteunde aanvallen te beperken. Het kan echter een enorme uitdaging zijn om te bewijzen dat een dreigende actor een oorlogsdaad uitvoerde.

 

 

Waarom heb ik een cyberverzekering nodig?

De meeste bedrijven zullen er niet aan twijfelen waarom cyberverzekeringen volgens de voorspellingen tegen 2029 een industrie van 64 miljard dollar zullen zijn. Een combinatie van stijgende cyberdreigingen en de daarmee gepaard gaande kosten, plus een toenemende controle van regelgevende instanties, dwingt bedrijven om beproefde manieren te vinden om hun risicoblootstelling te beperken.

 

De overstap naar hybride werken, in combinatie met migratie naar de cloud en digitale investeringen tijdens de pandemie, hebben bijgedragen aan de productiviteit en meer flexibele bedrijfsprocessen, maar heeft ook het oppervlak voor cyberaanvallen vergroot. Ongepatchte endpoints voor thuiswerken, verkeerd geconfigureerde cloudsystemen en mobiele dreigingen zijn slechts het topje van de ijsberg. In een rapport uit 2022 beweert 79% van de organisaties dat recente veranderingen in werkpraktijken een negatieve invloed hebben gehad op de cyberbeveiliging van hun organisatie. In een ander rapport is 43% van de wereldwijde organisaties het erover eens dat hun aanvalsoppervlak "uit de hand loopt". Het aanvalsoppervlak strekt zich ook uit tot complexe toeleveringsketens en mogelijk nalatige medewerkers. Naar schatting 98% van de wereldwijde bedrijven heeft bijvoorbeeld in 2021 te maken gehad met een inbreuk via hun leveranciers.

 

Met als resultaat:

  • In de VS was in 2022 sprake van een bijna recordaantal openbaar gemelde datalekken.

  • Twee vijfde van de in 2022 ondervraagde Britse organisaties meldde dat ze in de afgelopen 12 maanden te maken hadden gehad met een beveiligingslek.

  • Meer dan een kwart (27%) van de Britse tech- en bedrijfsleiders verwacht dat aanvallen waarbij zakelijke e-mail wordt gecompromitteerd (BEC) en "hack en lek" in 2023 zullen toenemen, en 24% zegt hetzelfde over ransomware.

Ernstige beveiligingsincidenten zijn tegenwoordig niet alleen waarschijnlijker. Ze kosten slachtoffers ook meer. In 2021 bedroegen de kosten van aan de FBI gemelde cybercriminaliteitsincidenten 6,9 miljard dollar. Een jaar later waren dat er 10,3 miljar: een stijging van 49%. Dat maakt het totaal voor de vijf jaar tot 2022 op maar liefst 27,6 miljard dollar.

 

 

Hoe kom ik in aanmerking voor dekking?

De cyberverzekeringsmarkt is de afgelopen jaren ingrijpend veranderd. Een golf van ransomware-inbreuken en de daaropvolgende claims tijdens de pandemie leidden ertoe dat sommigen de sector beschuldigden van het indirect aanmoedigen van dreigingsactoren om aanvallen uit te voeren. De verliezen die veel maatschappijen leden, leidden tot corrigerende maatregelen - een aanzienlijke stijging van de premies en een verminderde dekking. Gelukkig stabiliseren de prijzen zich nu, zodat polissen weer betaalbaar worden.

 

Dit is deels te danken aan meer gedetailleerd beleid dat meer vraagt van potentiële klanten. Op deze manier zien we de rol van cyberverzekeringen evolueren - van geldschieter in laatste instantie naar een beveiligingspartner die goed gedrag stimuleert. Kortom, door bedrijven te verplichten om best practice beveiligingscontroles en cyberhygiënemaatregelen in te voeren, kunnen verzekeraars verbeteringen in het beheer van cyberrisico's stimuleren.

 

Afhankelijk van het beleid kunnen deze maatregelen bestaan uit: 

  • Regelmatige (en off-site) back-ups van gegevens
  • Gebruik van sterke, unieke wachtwoorden en tweefactorauthenticatie
  • Scannen op kwetsbaarheden en geautomatiseerd patchbeheer op basis van risico's.
  • Voortdurende awareness trainingen over cybersecurity
  • Beveiligingssoftware voor endpoints
  • Regelmatig geteste incidentbestrijdingsplannen
  • Netwerksegmentatie om de "ontploffingsradius" van aanvallen te minimaliseren

Wat gebeurt er nu?

Het mkb en grote bedrijven beschouwen cyberincidenten nog steeds als hun grootste dreiging. Naarmate de kosten stijgen, zullen ze steeds vaker een beroep doen op cyberverzekeringen. Dat zou op zijn beurt moeten leiden tot betere beveiliging, lagere risico's en beter betaalbare dekking. Maar er is nog een lange weg te gaan: volgens het World Economic Forum (WEF) heeft ongeveer de helft (48%) van de mkb’ers nog steeds geen dekking, tegenover 16% van de grote organisaties. Om in de toekomst optimaal gebruik te maken van verzekeringen, is het belangrijker dan ooit om de kleine lettertjes van de polis te lezen.